Как построить работу отказоустойчивой доменной сети с 2 контроллерами домена?

Question

[ituzsm]

Имеется доменная сеть с единственным контроллером домена на Windows Server 2012 R2 с AD DS, DHCP, DNS и файловым сервером.

Требуется добавить второй контроллер для обеспечения отказоустойчивости. (Если один из контроллеров домена выключается — офис этого не замечает, и всё работает как и раньше)

Сейчас я представляю себе это следующим образом:
1. Подключаю кабель с интернетом от роутера в первый сетевой адаптер КД1 и КД2
2. К свичу подключаю второй адаптер каждого КД и кабель сети с рабочими станциями (который сейчас подключен ко второму адаптеру КД1)
3. Делаю КД2 вторым сервером глобального каталога
4. Поднимаю все роли имеющиеся на КД1, настраиваю репликацию

Вопрос:
1. Правильно ли я понимаю топологию сети?
2. Как мне реализовать отказоустойчивость файлового сервера, чтобы файлы были доступны при отключении одного из КД?

Comments

[Hardman-House]

Разрешите втиснуться. Что предпочесть, два контроллера домена в кластере на Hyper-V с телепортом отказавшего сервака. Или Каждый КД на отдельном сервере?
Имеет ли смысл разгрузить КД от сервера печати, файлового хранилища, центра управления антивирусом и прочих сервисов, оставив минимум функционала для работы КД. Сервис растащить по виртуалкам и отдельным машинам? Спасибо.

Answer 1

[Антон]

со слов получается, что вы еще пропустили роль - сервер одновременно прокси или шлюз, так?
А в целом, всё верно:
поднимаете роль dns, второго контроллера - глобального каталога, настраиваете dhcp и выключаете его до поры, запускате файловую роль и мастером зеркалите dfs

Comments

[ituzsm]

Сервер, на сколько я понимаю, является шлюзом (или маршрутизатором) — раздаёт интернет. Из статей по настройке домена я понял, что это единственно возможный вариант. Видимо, я не прав?

[Антон]

ituzsm: крайне нежелательный вариант, когда контроллер еще и шлюз.. немного непонятно: или финансов нет или месье знает толк в извращениях...

[ituzsm]

Почему нежелательно? Как сделать по уму? Ещё одну железку под шлюз? Или он вообще не нужен, и можно раздавать интернет прямиком из роутера?

[Антон]

ituzsm: зачем еще одну железку? у вас там интернет каким то образом для сотрудников лимитируется что ли? роутер какой модели? сколько компов? они все в один коммутатор подключены? сервер только один или есть еще?

[ituzsm]

На данный момент сеть выглядит следующим образом:
MikroTik Cloud Router Switch 125-24G-1S-RM --> КД1 --> шина с 10 рабочими станциями + ip телефоны.
Трафик не лимитируется. Но в будущем планируется поставить прокси сервер для фильтрации трафика по пользователям AD.
Сейчас всё настроено так, как пишут в интернете. По другому как настраивать, я не знаю.
Где я не прав?

[Антон]

ituzsm: то есть весь интернет с микротика(такого шикарного) заходит сперва на одну сетевую карту контроллера, а с другой сетевой карты раздается через коммутатор 10 компам? так?

[ituzsm]

Совершенно верно.

[Антон]

а тогда почему компы напрямую не подключены к микротику?..)

[ituzsm]

Потому что я страшный нубас, видимо! Спасибо большое за то, что я чуть-чуть поумнел :)

[Антон]

ituzsm: да не, не такой уж и страшный..) ты мне вот скажи: на сетевой карте сервера, которая подключена к микротику - сетевой адрес он получает автоматом от микротика или адрес там ты прописываешь вручную?

[ituzsm]

Вручную.

[ituzsm]

Значит, если подключать к микротику, DHCP нужно настраивать на нём?

[Антон]

так.. теперь скажи, какой адрес у одной сетевой карты сервера и у второй - и какие адреса получаются у компов

[ituzsm]

Адрес первого адаптера — 192.168.88.2, второго — 192.168.0.1, DHCP раздаёт адреса 192.168.0.10-192.168.0.100.

[Антон]

ituzsm: вот как раз подошли к dhcp как ты правильно догадался.. нет dhcp на нем как раз пусть выключен будет.. и раздавать его будет сервер, но в параметрах пула раздачи адресов - шлюзом надо будет поставить адрес микротика

[Антон]

ituzsm: т.е. заходишь на микротик и легким движением руки меняешь ему адрес на допустим 192.168.0.254

[Антон]

и втыкаешь хвост с микротика в общий коммутатор для начала

[Антон]

таким образом ты сможешь зайти на него с любого компа для настройки в дальнейшем

[ituzsm]

Ну зайти я и так могу. Нужно ли менять ip микротика (просто интересно)?
И все рабочии станции получается (упрощённо) я могу подключить напрямую в микротик? Благо портов хватает и маршрутизация настраивается.

[ituzsm]

И какой будет использоваться DNS сервер с такой конфигурацией сети? С КД?

[Антон]

ip микротика можешь не менять..) тогда у тебя сервер должен выдавать по dhcp: 003 - IP Mikrotika(192.168.88.1), 006 - 192.168.88.2, 192.168.88.1, 015 - domain name, 044 - 192.168.88.2 - минимальные настройки.. и Пул само собой - 192.168.88.10-192.168.88.100.

[Антон]

на сервере остается одна рабочая сетевая - 192.168.88.2 - она и для микротика и для компов

[Антон]

после этого проверить работу днс и уже можно разворачивать второй контроллер для реплики

[ituzsm]

Значит DNS сервера 2 — микротик и КД. 044 — это WINS? Я его не использую, пишут, что лучше отказаться в пользу DNS.

[Антон]

да, днс в dhcp клиентов два и первый идет КД1, потом микротик..
после установки второго КД - получится: сперва КД1, КД2, микротик

[Антон]

на втором КД настройки для dhcp можно будет забрать с первого через архивную копию и выключить его

[ituzsm]

Хочу чтобы все роли были на обоих серверах, чтобы в случае чего всё работало. Читал что в WS 2012 сделали репликацию DHCP.

[Антон]

ituzsm: ну роли у тебя и так все будут на обоих, для полноты счастья и отказоустойчивости..

"Сейчас я представляю себе это следующим образом:
1. Подключаю кабель с интернетом от роутера в первый сетевой адаптер КД1 и КД2
2. К свичу подключаю второй адаптер каждого КД и кабель сети с рабочими станциями (который сейчас подключен ко второму адаптеру КД1)
3. Делаю КД2 вторым сервером глобального каталога
4. Поднимаю все роли имеющиеся на КД1, настраиваю репликацию"

то есть теперь, когда с сеткой разобрались - остается просто поднять тут же второй сервер и облагородить его ролями)

[ituzsm]

А если ставить железный прокси сервер, ему нужны 2 адаптера? Один к роутеру, другой в сеть?

[ituzsm]

Или можно просто указать его шлюзом в DHCP?

[Антон]

один адаптер, указать его шлюзом в dhcp, поставить к примеру pfSence, и для полноты просто на микротике - не отдавать интернет никому, кроме прокси

[ituzsm]

Если я тебя не совсем замучал своими вопросами... финальный вопрос)
Можно ли прокси сервер поставить на виртуалку КД1 или КД2?

[ituzsm]

Теперь я подозреваю, что да.

[Антон]

ituzsm: само собой можно поставить на виртуалку, сам так делал - получается вообще красота

[Антон]

тут главное, чтобы была ясность прохождения пакетов через микротик и соответствующие правила

[ituzsm]

Ещё раз большое спасибо! Теперь я знаю что делать :)

[ituzsm]

Осталось только разобраться с микротиком..)

[Антон]

микротик хороший, на нем можно хоть черта лысого сделать)

[ituzsm]

Это я понимаю. Осталось понять как, но я думаю разберусь :)

Answer 2

[Андрей Ермаченок]

1. Подключаю кабель с интернетом от роутера в первый сетевой адаптер КД1 и КД2

Зачем? В свитч, куда все компы подключены, туда и Инет.

2. К свичу подключаю второй адаптер каждого КД и кабель сети с рабочими станциями (который сейчас подключен ко второму адаптеру КД1)

Да
3. Да.
4. Да.

2. Как мне реализовать отказоустойчивость файлового сервера, чтобы файлы были доступны при отключении одного из КД?

А сколько в офисе людей и какое время простоя в случае аварии допустимо?
Можно сделать на втором сервере зеркало файлопомойки, в случае аварии первого всех перенаправить на него.

Comments

[ituzsm]

1. Настраивал по статьям из интернета. Везде написано, что нужно 2 адаптера, один во внешнюю сеть, другой во внутреннюю. Плюс в далёких планах ещё поставить прокси сервер перед КД, чтобы фильтровать трафик. Можно по-другому?

[Андрей Ермаченок]

ituzsm: Так у вас нет внешней сети. Во внешнюю сеть смотрит роутер и раздает Инет для внутренней.
Прокси опять же фильтрует трафик для всех - и для КД, и для рабочих компов. В вашем случае нет смысла во втором интерфейсе.

[ituzsm]

Спасибо! Свою ошибку понял. Исправлюсь!

[ituzsm]

Ещё один вопрос. Если я поставлю железный прокси, интернет уже должен будет раздавать он, или будет достаточно, что он будет находиться в одной сети?

[Андрей Ермаченок]

Не понял вопрос.
Есть сеть предприятия. К сети подключены рабочие компы, КД1, КД2, IP телефоны, ..., и ИсточникИнета (роутер, прокси, черт с рогами - не суть), который берет Инет через внешний интерфейс, как-то фильтрует и отдает во внутреннюю сеть через внутренний.

[ituzsm]

Я понял, что можно упростить коммутацию. Но если ставить железный прокси для фильтрации, ему нужны 2 сетевых адаптера? Один к роутеру, второй в сеть.

[Андрей Ермаченок]

ituzsm: Да.
или один к роутеру, второй во внутреннюю сеть, или один напрямую в Инет, второй опять же во внутреннюю сеть - смотря как к вам приходит Инет.

[ituzsm]

Интернет приходит в роутер. Антон написал, что можно одним адаптером обойтись, указав шлюзом в DHCP прокси сервер.

Answer 3

[Иван]

Логика поднятия КД (основного или резерва - не важно) достаточно проста -
1) на всех клиентских машинах КД должны быть указаны в роли DNS (например добавляете их в DHCP).
2) все кд должны видеть друг-друга в сети, дабы шла репликация данных каталога.
По большому счету ничего сложного там нет.
Но я не очень понимаю зачем вы подключаете контроллеры в роутер, а не в свич.
Отказоустойчивость файлопомойки если правильно помню достигается использованием DFS.

Comments

[ituzsm]

А можно чтобы трафик не проходил через КД, а просто находился в сети?
За три буквы спасибо (DFS), дальше разберусь :)

[Иван]

ituzsm: смотря какой трафик. Если инет, то ему в принципе нечего на контроллерах делать (лично я вообще закрываю доступ в инет с контроллеров).

Answer 4

[1qaz2wsx3edc]

"3. Делаю КД2 вторым сервером глобального каталога"

Поднимаете роль контроллера домена, получаете входящую репликацию с #1. Далее - указываете, что новый кд является еще и глобальным каталогом.

"4. ... настраиваю репликацию"

репликацию "настраивать" вам не придется - у вас наипростейшая структура

"Вопрос:
1. Правильно ли я понимаю топологию сети?"

Без вменяемой схемы сложно понять, что именно и куда вы собираетесь подключать.

"2. Как мне реализовать отказоустойчивость файлового сервера, чтобы файлы были доступны при отключении одного из КД?"

Есть штатная роль - Failover Cluster, при этом предполагается, что ваша машина не кд (т.к для кд этот функционал избыточен). До кластеров вам с такой инфраструктурой, к сожалению, как до луны, поэтому:

1) Есть вариант организовать через DFS, однако есть ряд подводных камней (технология не предназначена именно для репликации данных)

2) Скрипт \ robocopy etc - будет работать, но это костыли.